👆👆یکی از استفاده کنندگان از روش تشریح شده در پستهای فوق برای نفوذ، یک گروه هکری چینی است که در مقاله زیر از FireEye میبینید چطور از BITS در مراحلی از حملاتش استفاده میکند
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
@roozbeh_learning
www.roozbeh.academy
https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html
FireEye
Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S.
Engineering and Maritime Industries
Engineering and Maritime Industries
Since early 2018, FireEye has been tracking an ongoing wave of intrusions targeting engineering and maritime entities, especially those connected to South China Sea issues.
Platinum_feature_article_Targeted.pdf
1.1 MB
👆👆مقاله ای از مایکروسافت که به هک هایی در آسیا اشاره دارد که از متد های پیشرفته استفاده شده است .
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
در قسمتی از آن به BITS نیز اشاره شده است که داده ها به راحتی تخلیه میشدند
@roozbeh_learning
www.roozbeh.academy
👇👇
پیرو بحث نفوذ از طریق BITS :
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند
@roozbeh_learning
www.roozbeh.academy
https://www.symantec.com/connect/blogs/malware-update-windows-update
Symantec Security Response
Malware Update with Windows Update
Symantec Connect
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x
@roozbeh_learning
www.roozbeh.academy
جزییات در لینک زیر :
https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281/
آکادمی آموزش روزبه 📚
👆👆نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند 🚨Microsoft BITS/x.x @roozbeh_learning www.roozbeh.academy جزییات در لینک زیر : https://isc.sans.edu/forums/diary/Investigat…
رول اسنورت برای کشف ترافیک های BITS
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:" Microsoft BITS "; http_header; fast_pattern:only; pcre:"/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm"; metadata:service http; msg:"BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x "; classtype:network exfil; rev:1; )
@roozbeh_learning
www.roozbeh.academy
پیرو بحث امشب در خصوص BITS
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید
@roozbeh_learning
www.roozbeh.academy
https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html
InfoWorld
Check your BITS, because deleting malware might not be enough
Rogue Windows Background Intelligent Transfer Service jobs can linger after malware clean-up and re-infect systems
آکادمی آموزش روزبه 📚
👆👆💌Windows Background Intelligent Transfer Service ( BITS) مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد.…
دستوراتی بدخواهانه برای سوء استفاده از BITS
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
❇️کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1
✳️پاورشل
Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1
@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد
🦅هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
به کمک الستیک
اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود
@roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy
https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7
Medium
Background Intelligent Transfer Protocol
Introduction
آکادمی آموزش روزبه 📚
🦅هانتینگ ( Hunting) در خصوص BITS به کمک الستیک اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود @roozbeh_learning 📚آکادمی امنیت اطلاعات روزبه www.roozbeh.academy http…
برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
✳️پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD
📍 User Agent:Microsoft BITS
📍GET (special)
📍BITS_POST
📍BITS-Packet-Type
https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads
Rsa
Identifying BITS Uploads and Downloads | RSA Link
Part 1: NetWitness for Packets I recently read an article from Microsoft
bits-forensics-39195.pdf
1 MB
حال که ایده هایی در مورد عملکرد و سوء استفاده از BITS را مشاهده کردید ، مقاله جامع سنز را در این خصوص مطالعه فرمایید
@roozbeh_learning
www.roozbeh.academy
@roozbeh_learning
www.roozbeh.academy
نگاه Offensive به BITS در مقاله زیر :
@roozbeh_learning
www.roozbeh.academy
انتقال داده ها در هنگام تست نفوذ
https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/
@roozbeh_learning
www.roozbeh.academy
انتقال داده ها در هنگام تست نفوذ
https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354/
یک روش دیگر روش کشف انتقال داده یا فایل از طریق BITS
فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.
@roozbeh_learning
www.roozbeh.academy
فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.
@roozbeh_learning
www.roozbeh.academy
آکادمی آموزش روزبه 📚
تا دقایقی دیگر بررسی BITS Jobs در مرحله Persistence مدل ATT&CK آکادمی امنیت اطلاعات روزبه 👇👇👇
👆👆و پایان بررسی نفوذ از طریق BITS Jobs و روشهای کشف و مقابله
برای البته فعلا🙋♂
آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹
برای البته فعلا🙋♂
آکادمی امنیت اطلاعات روزبه شب خوشی را برای شما آرزومند است 🌹
بررسی آلوده سازی گوشی های افراد مهم دولتی در ۲۰ کشور از طریق آسیب پذیری واتس اپ، توسط یک شرکت اسرائیلی و پرونده تشکیل شده در این خصوص؛ این بار از نگاه فوربس
@roozbeh_learning
www.roozbehgroup.com
https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/krisholt/2019/10/31/hackers-reportedly-targeted-government-officials-with-whatsapp-malware/amp/
@roozbeh_learning
www.roozbehgroup.com
https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/krisholt/2019/10/31/hackers-reportedly-targeted-government-officials-with-whatsapp-malware/amp/
Forbes
Hackers Reportedly Targeted Government Officials With WhatsApp Malware
Government and military figures from at least 20 countries are said to have been targeted.
ترکیب AMP و خروجی اسکن آسیب پذیری ( برای مثال NESSUS) با ISE :
Threat-Centric NAC
راهکاری بسیار مفید برای ارتقای توانمندی SOC
@roozbeh_learning
https://m.youtube.com/watch?v=_vhl4rXdPeE
Threat-Centric NAC
راهکاری بسیار مفید برای ارتقای توانمندی SOC
@roozbeh_learning
https://m.youtube.com/watch?v=_vhl4rXdPeE
YouTube
Threat-Centric Network Access Control (NAC) with ISE 2.1
In this Security Chalk Talks video Imran Bashir, TME, introduces Cisco Identity Services Engine (ISE) Threat-Centric NAC service and its integration with Advance Malware Protection (AMP) and Qualys. This integration enables ISE to take the real time feed…
آکادمی آموزش روزبه 📚
معرفی کتاب ارتباط بدون خشونت زبان زندگی @roozbeh_learning www.roozbeh.academy
معرفی کتاب ارتباط بدون خشونت (نوشته مارشال روزنبرگ) - متمم
https://motamem.org/%da%a9%d8%aa%d8%a7%d8%a8-%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a8%d8%af%d9%88%d9%86-%d8%ae%d8%b4%d9%88%d9%86%d8%aa-%d9%85%d8%a7%d8%b1%d8%b4%d8%a7%d9%84-%d8%b1%d9%88%d8%b2%d9%86%d8%a8%d8%b1%da%af/
https://motamem.org/%da%a9%d8%aa%d8%a7%d8%a8-%d8%a7%d8%b1%d8%aa%d8%a8%d8%a7%d8%b7-%d8%a8%d8%af%d9%88%d9%86-%d8%ae%d8%b4%d9%88%d9%86%d8%aa-%d9%85%d8%a7%d8%b1%d8%b4%d8%a7%d9%84-%d8%b1%d9%88%d8%b2%d9%86%d8%a8%d8%b1%da%af/
🔴هشدار
تعیین هویت در واتس اپ از طریق اثر انگشت اجرایی شده است .
این امر میتواند منجر به پروفایل سازی و شناسایی افراد خاص گردد لذا اطلاع رسانی شود که درصورت وجود دغدعه ، از این روش در واتس اپ استفاده نگردد
.
📌شایان ذکر است اینستاگرام و واتس اپ برای فیس بوک هستند: چه ترکیب جالبی !🤔🤨
@roozbeh_learning 👈🏼
www.roozbehgroup.com
تعیین هویت در واتس اپ از طریق اثر انگشت اجرایی شده است .
این امر میتواند منجر به پروفایل سازی و شناسایی افراد خاص گردد لذا اطلاع رسانی شود که درصورت وجود دغدعه ، از این روش در واتس اپ استفاده نگردد
.
📌شایان ذکر است اینستاگرام و واتس اپ برای فیس بوک هستند: چه ترکیب جالبی !🤔🤨
@roozbeh_learning 👈🏼
www.roozbehgroup.com
آکادمی امنیت اطلاعات روزبه
تلفن مدیریت آموزش 02188990626
واتس اپ 09902857289
@roozbeh_learning
www.roozbeh.academy
آدرس: خ ولیعصر بالاتر از فاطمی ، بوعلی سینای شرقی پ ۲۵
تلفن مدیریت آموزش 02188990626
واتس اپ 09902857289
@roozbeh_learning
www.roozbeh.academy
آدرس: خ ولیعصر بالاتر از فاطمی ، بوعلی سینای شرقی پ ۲۵
یک اسنیف خوب👌 ( شنود) میخوای انجام بدی ، آزمایشگاه کاملش رو با کمک لینک زیر راه بنداز
@roozbeh_learning
www.roozbeh.academy
https://www.hackingarticles.in/comprehensive-guide-on-sniffing/
@roozbeh_learning
www.roozbeh.academy
https://www.hackingarticles.in/comprehensive-guide-on-sniffing/
Hacking Articles
Comprehensive Guide on Sniffing - Hacking Articles
ARP Protocol The Address Resolution Protocol (ARP) is a communication protocol. It is used for discovering the link layer address associated with a given Internet
⁉️👆به کدام سوی میرویم ؟ جامعه ای جنگ طلب یا هیجان خواه !
نسل های مختلف ما که به دهه های مختلف از آنها نام برده میشود ( دهه شصتی ها، دهه هفتادی ها و...) هر کدام بواسطه عصری که در آن قرار داشته اند از مواردی محروم بوده و یا از مواردی برخوردار .
به نظر، جو کلی جامعه کنونی جنگ طلب نیست و خسته از جنگ است حتا به قیمت قربانی شدن حقیقت! این نکته در لایک های اینستا و لینکدین و نظرات رو در رو که تفکیک مخاطب و ایجاد گفتمان کامل میسر است میتوان دید .
پس میتوان دو علت بر تقاضای جنگ ( نتیجه این همه پرسی) درک کرد
۱- علاقمندان پروپاقرص آکادمی که عموما طیف جوان هستند و اغلب در کلاسهای آکادمی یا همایش ها حضور داشته اند نیاز به بیان دفاع و زدن حرفشان به افراد مد نطر از زبان آکادمی دارند .
۲- طیف هیجان طلب که در گستره زیادی از جامعه کنونی ما وجود دارد همانها که برای مثال از هیجان نگاه به تصادفی نمیگذرند ! لذا ترافیکی درست میکنند که مردم دیگر ساعتها لنگ هیحان ایشان میمانند
@roozbeh_learning
www.roozbeh.academy
👇👇
نسل های مختلف ما که به دهه های مختلف از آنها نام برده میشود ( دهه شصتی ها، دهه هفتادی ها و...) هر کدام بواسطه عصری که در آن قرار داشته اند از مواردی محروم بوده و یا از مواردی برخوردار .
به نظر، جو کلی جامعه کنونی جنگ طلب نیست و خسته از جنگ است حتا به قیمت قربانی شدن حقیقت! این نکته در لایک های اینستا و لینکدین و نظرات رو در رو که تفکیک مخاطب و ایجاد گفتمان کامل میسر است میتوان دید .
پس میتوان دو علت بر تقاضای جنگ ( نتیجه این همه پرسی) درک کرد
۱- علاقمندان پروپاقرص آکادمی که عموما طیف جوان هستند و اغلب در کلاسهای آکادمی یا همایش ها حضور داشته اند نیاز به بیان دفاع و زدن حرفشان به افراد مد نطر از زبان آکادمی دارند .
۲- طیف هیجان طلب که در گستره زیادی از جامعه کنونی ما وجود دارد همانها که برای مثال از هیجان نگاه به تصادفی نمیگذرند ! لذا ترافیکی درست میکنند که مردم دیگر ساعتها لنگ هیحان ایشان میمانند
@roozbeh_learning
www.roozbeh.academy
👇👇